IIS 4 stopt automatisch alle sites

NT4 met service packs ? Ik mag hopen dat je ook servicepacks (en hotfixes) hebt geinstalleeerd van IIS ?

Ik heb het ook wel eens gehad (heel incidenteel) maar er geen oplossing gevonden. Volgens mij is op de een of andere manier een commando in de richting van "w3svc /stop" aangeroepen of het stop-commando van het asp iis object. (ben de precieze syntax kwijt). Ik _kan_ me voorstellen dat het iets met hackers te maken zou kunnen hebben en dat iemand zo'n commando uit heeft kunnen voeren. Als het af en toe gebeurd zou ik niet die richting uit gaan denken maar bij 1x per dag zou ik toch maar eens serieus gaan controleren of zoiets de oorzaak kan zijn.

<edit>
Ik lees nu pas dat het zaterdag opeens begon.. dan zou ik zeker maar eens goed gaan zoeken
</edit>

In de application/system log is niets te vinden dat op een error kan duiden?

Er wordt ook geen gebruik gemaak van (zelfgemaakte) com-objecten die fouten bevatten?

En als je alle servicepacks en laatste (security)patches er op hebt staan is een hacker/cracker mischien niet het probleem.

Analyseer eens met een netstat -a of er rare connecties openstaan oid etc etc.

Je had gezien dat je met het iis object in asp ook iis kan stoppen?

Is ook bruikbaar voor hackers

Je geeft ook geen asp commando "stop die en die service".

Je maakt een iis object aan waarmee je je information server kan besturen (toevalligerwijs een service maar in principe maakt dat niets uit).

Vervolgens geef je het commando iisobject.Stop

Dat voer je een method van het object uit, dat op zijn beurt toevallig een service stopt.

Ik ben het in een codefragment van www.iisfaq.com tegengekomen. Ik zocht op een stuk code dat zocht naar dubbele host header names. De code liep ook op mijn server dus het is geen specifiek component.

Op woensdag 18 juli 2001 14:08 schreef indekroeg het volgende:
In het application log staat een informatie bericht op 14 juli om 1400 uur (laatste bericht daarvoor 10 juli) Rond die tijd (14:00 uur) zijn de problemen begonnen.
Toen is de server herstart wegens het haperen van websites. In de log staat dat enkele toepassingen weer gestart zijn (MSDTC & Active Server Pages)

Maar er staat niet een error melding, of beter een event ID bij? (Hiermee kan je verder zoeken op de microsoft site e.d.) of de user groups van google.

Ik heb dit zelf ook weleens gehad en dat werd veroorzaakt door een slecht geprogrameerde ASP pagina. Tijdens het laden van de pagina kon het voorkomen dat de gebruiker een time-out kreeg (op een LAN nog wel) en als dat gebeurde dan stopte alle IIS services ermee (default website, Winsock proxy, web proxy, socks proxy, etc.)

Kijk dus even de code van je sites door

Laatste 2 dagen heb ik zelf weer veelvoudig gehad dat de www publishing service eruit knalde... Dit kwam niet door slechte code maar door de Code Red worm (zie security.nl)

De worm was niet instaat om onze gepatchte IIS webservers te infecteren maar vanwege het hoge aantal wel geinfecteerde servers die onze servers aanvielen raakte het boeltje overbelast en knalde de IIS eruit.

Wat je dus kan doen is je poort 80 dichtknallen (als je niet te afhankelijk bent van externe connecties) en dan kijken of de boel wel blijft doordraaien...

Overigens was er nooit een foutmelding te vinden in de event viewers als de IIS eruit klapte...

In de IIS manager, met de rechtermuisknop op de server klikken, dan
properties (eigenschappen).

Naast de drop down van WWW service staat 'edit' (bewerken), hierop klikken,
vervolgens naar tabblad 'Home Directory' en daar op de button 'Configure'
(configureren) klikken. Hier de .idq en .ida bestanden weghalen.

PS: dit is de snelste manier om van de CODE RED worm af te komen. Op de homepage van microsofty kan je ook een patch downloaden, maar helaas niet voor de nl versie van NT 4.0

Fijn dat je wilt helpen, maar spammen voor je ICT berijf wordt niet op prijs gesteld